Cisco ISE ಗೆ ಮೀಸಲಾಗಿರುವ ಲೇಖನಗಳ ಸರಣಿಯ ಎರಡನೇ ಪ್ರಕಟಣೆಗೆ ಸುಸ್ವಾಗತ. ಮೊದಲನೆಯದರಲ್ಲಿ ಸ್ಟ್ಯಾಂಡರ್ಡ್ AAA ನಿಂದ ನೆಟ್ವರ್ಕ್ ಆಕ್ಸೆಸ್ ಕಂಟ್ರೋಲ್ (NAC) ಪರಿಹಾರಗಳ ಅನುಕೂಲಗಳು ಮತ್ತು ವ್ಯತ್ಯಾಸಗಳು, Cisco ISE ನ ವಿಶಿಷ್ಟತೆ, ಉತ್ಪನ್ನದ ವಾಸ್ತುಶಿಲ್ಪ ಮತ್ತು ಅನುಸ್ಥಾಪನಾ ಪ್ರಕ್ರಿಯೆಯು ಹೈಲೈಟ್ ಮಾಡಲ್ಪಟ್ಟಿದೆ.
ಈ ಲೇಖನದಲ್ಲಿ ನಾವು ಖಾತೆಗಳನ್ನು ರಚಿಸುವುದು, LDAP ಸರ್ವರ್ಗಳನ್ನು ಸೇರಿಸುವುದು ಮತ್ತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಕ್ಟಿವ್ ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಏಕೀಕರಣ, ಹಾಗೆಯೇ PassiveID ಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ಸೂಕ್ಷ್ಮ ವ್ಯತ್ಯಾಸಗಳನ್ನು ಪರಿಶೀಲಿಸುತ್ತೇವೆ. ಓದುವ ಮೊದಲು, ನೀವು ಓದಬೇಕೆಂದು ನಾನು ಬಲವಾಗಿ ಶಿಫಾರಸು ಮಾಡುತ್ತೇವೆ .
1. ಕೆಲವು ಪರಿಭಾಷೆ
ಬಳಕೆದಾರ ಗುರುತು - ಬಳಕೆದಾರರ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಬಳಕೆದಾರ ಖಾತೆ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಅವರ ರುಜುವಾತುಗಳನ್ನು ರೂಪಿಸುತ್ತದೆ. ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಕೆದಾರ ಗುರುತಿನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ: ಬಳಕೆದಾರ ಹೆಸರು, ಇಮೇಲ್ ವಿಳಾಸ, ಪಾಸ್ವರ್ಡ್, ಖಾತೆ ವಿವರಣೆ, ಬಳಕೆದಾರ ಗುಂಪು ಮತ್ತು ಪಾತ್ರ.
ಬಳಕೆದಾರ ಗುಂಪುಗಳು - ಬಳಕೆದಾರ ಗುಂಪುಗಳು ಸಿಸ್ಕೋ ISE ಸೇವೆಗಳು ಮತ್ತು ವೈಶಿಷ್ಟ್ಯಗಳ ನಿರ್ದಿಷ್ಟ ಸೆಟ್ ಅನ್ನು ಪ್ರವೇಶಿಸಲು ಅನುಮತಿಸುವ ಸಾಮಾನ್ಯ ಸವಲತ್ತುಗಳನ್ನು ಹೊಂದಿರುವ ವೈಯಕ್ತಿಕ ಬಳಕೆದಾರರ ಸಂಗ್ರಹವಾಗಿದೆ.
ಬಳಕೆದಾರರ ಗುರುತಿನ ಗುಂಪುಗಳು - ಈಗಾಗಲೇ ನಿರ್ದಿಷ್ಟ ಮಾಹಿತಿ ಮತ್ತು ಪಾತ್ರಗಳನ್ನು ಹೊಂದಿರುವ ಪೂರ್ವನಿರ್ಧರಿತ ಬಳಕೆದಾರ ಗುಂಪುಗಳು. ಕೆಳಗಿನ ಬಳಕೆದಾರ ಗುರುತಿನ ಗುಂಪುಗಳು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಅಸ್ತಿತ್ವದಲ್ಲಿವೆ ಮತ್ತು ನೀವು ಅವರಿಗೆ ಬಳಕೆದಾರರು ಮತ್ತು ಬಳಕೆದಾರ ಗುಂಪುಗಳನ್ನು ಸೇರಿಸಬಹುದು: ಉದ್ಯೋಗಿ, ಪ್ರಾಯೋಜಕ ಎಲ್ಲಾ ಖಾತೆಗಳು, ಪ್ರಾಯೋಜಕ ಗುಂಪು ಖಾತೆಗಳು, ಪ್ರಾಯೋಜಕ ಖಾತೆಗಳು (ಅತಿಥಿ ಪೋರ್ಟಲ್ ಅನ್ನು ನಿರ್ವಹಿಸಲು ಪ್ರಾಯೋಜಕ ಖಾತೆಗಳು), ಅತಿಥಿ, ಸಕ್ರಿಯ ಅತಿಥಿ.
ಬಳಕೆದಾರರ ಪಾತ್ರ - ಬಳಕೆದಾರ ಪಾತ್ರವು ಬಳಕೆದಾರನು ಯಾವ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಬಹುದು ಮತ್ತು ಬಳಕೆದಾರರು ಯಾವ ಸೇವೆಗಳನ್ನು ಪ್ರವೇಶಿಸಬಹುದು ಎಂಬುದನ್ನು ನಿರ್ಧರಿಸುವ ಅನುಮತಿಗಳ ಗುಂಪಾಗಿದೆ. ಸಾಮಾನ್ಯವಾಗಿ ಬಳಕೆದಾರರ ಪಾತ್ರವು ಬಳಕೆದಾರರ ಗುಂಪಿನೊಂದಿಗೆ ಸಂಬಂಧ ಹೊಂದಿದೆ.
ಇದಲ್ಲದೆ, ಪ್ರತಿ ಬಳಕೆದಾರ ಮತ್ತು ಬಳಕೆದಾರ ಗುಂಪು ಹೆಚ್ಚುವರಿ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಂದಿದ್ದು ಅದು ನಿರ್ದಿಷ್ಟ ಬಳಕೆದಾರರನ್ನು (ಬಳಕೆದಾರ ಗುಂಪು) ಹೈಲೈಟ್ ಮಾಡಲು ಮತ್ತು ಹೆಚ್ಚು ನಿರ್ದಿಷ್ಟವಾಗಿ ವ್ಯಾಖ್ಯಾನಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ರಲ್ಲಿ ಹೆಚ್ಚಿನ ಮಾಹಿತಿ .
2. ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ರಚಿಸಿ
1) Cisco ISE ನಲ್ಲಿ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ರಚಿಸಲು ಮತ್ತು ಪ್ರವೇಶ ನೀತಿಗಳಲ್ಲಿ ಅವುಗಳನ್ನು ಬಳಸಲು ಅಥವಾ ಅವರಿಗೆ ಉತ್ಪನ್ನ ಆಡಳಿತದ ಪಾತ್ರವನ್ನು ನೀಡಲು ಸಾಧ್ಯವಿದೆ. ಆಯ್ಕೆ ಮಾಡಿ ಆಡಳಿತ → ಗುರುತು ನಿರ್ವಹಣೆ → ಗುರುತುಗಳು → ಬಳಕೆದಾರರು → ಸೇರಿಸಿ.
ಚಿತ್ರ 1: ಸಿಸ್ಕೋ ISE ಗೆ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
2) ಕಾಣಿಸಿಕೊಳ್ಳುವ ವಿಂಡೋದಲ್ಲಿ, ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ರಚಿಸಿ, ಅವರಿಗೆ ಪಾಸ್ವರ್ಡ್ ಮತ್ತು ಇತರ ಸ್ಪಷ್ಟ ನಿಯತಾಂಕಗಳನ್ನು ನೀಡಿ.
ಚಿತ್ರ 2. Cisco ISE ನಲ್ಲಿ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ರಚಿಸುವುದು
3) ಬಳಕೆದಾರರನ್ನು ಸಹ ಆಮದು ಮಾಡಿಕೊಳ್ಳಬಹುದು. ಅದೇ ಟ್ಯಾಬ್ನಲ್ಲಿ ಆಡಳಿತ → ಗುರುತು ನಿರ್ವಹಣೆ → ಗುರುತುಗಳು → ಬಳಕೆದಾರರು ಒಂದು ಆಯ್ಕೆಯನ್ನು ಆರಿಸಿ ಆಮದು ಮತ್ತು ಬಳಕೆದಾರರೊಂದಿಗೆ csv ಅಥವಾ txt ಫೈಲ್ ಅನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಿ. ಟೆಂಪ್ಲೇಟ್ ಪಡೆಯಲು, ಆಯ್ಕೆಮಾಡಿ ಟೆಂಪ್ಲೇಟ್ ಅನ್ನು ರಚಿಸಿ, ನಂತರ ನೀವು ಸೂಕ್ತವಾದ ರೂಪದಲ್ಲಿ ಬಳಕೆದಾರರ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ತುಂಬಬೇಕು.
ಚಿತ್ರ 3. ಸಿಸ್ಕೋ ISE ಗೆ ಬಳಕೆದಾರರನ್ನು ಆಮದು ಮಾಡಿಕೊಳ್ಳುವುದು
3. LDAP ಸರ್ವರ್ಗಳನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
LDAP ಒಂದು ಜನಪ್ರಿಯ ಅಪ್ಲಿಕೇಶನ್-ಮಟ್ಟದ ಪ್ರೋಟೋಕಾಲ್ ಆಗಿದ್ದು ಅದು ನಿಮಗೆ ಮಾಹಿತಿಯನ್ನು ಸ್ವೀಕರಿಸಲು, ದೃಢೀಕರಣವನ್ನು ನಿರ್ವಹಿಸಲು, LDAP ಸರ್ವರ್ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ಖಾತೆಗಳನ್ನು ಹುಡುಕಲು ಮತ್ತು ಪೋರ್ಟ್ 389 ಅಥವಾ 636 (SS) ನಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂದು ನಾನು ನಿಮಗೆ ನೆನಪಿಸುತ್ತೇನೆ. LDAP ಸರ್ವರ್ಗಳ ಪ್ರಮುಖ ಉದಾಹರಣೆಗಳೆಂದರೆ ಆಕ್ಟಿವ್ ಡೈರೆಕ್ಟರಿ, ಸನ್ ಡೈರೆಕ್ಟರಿ, ನೋವೆಲ್ ಇ ಡೈರೆಕ್ಟರಿ ಮತ್ತು ಓಪನ್ಎಲ್ಡಿಎಪಿ. LDAP ಡೈರೆಕ್ಟರಿಯಲ್ಲಿನ ಪ್ರತಿಯೊಂದು ನಮೂದನ್ನು DN (ವಿಶಿಷ್ಟ ಹೆಸರು) ನಿಂದ ವ್ಯಾಖ್ಯಾನಿಸಲಾಗಿದೆ ಮತ್ತು ಪ್ರವೇಶ ನೀತಿಯನ್ನು ರೂಪಿಸಲು, ಖಾತೆಗಳು, ಬಳಕೆದಾರ ಗುಂಪುಗಳು ಮತ್ತು ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹಿಂಪಡೆಯುವ ಕಾರ್ಯವು ಉದ್ಭವಿಸುತ್ತದೆ.
Cisco ISE ನಲ್ಲಿ ಅನೇಕ LDAP ಸರ್ವರ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲು ಸಾಧ್ಯವಿದೆ, ಇದರಿಂದಾಗಿ ಪುನರುಕ್ತಿ ಅರಿವಾಗುತ್ತದೆ. ಪ್ರಾಥಮಿಕ LDAP ಸರ್ವರ್ ಲಭ್ಯವಿಲ್ಲದಿದ್ದರೆ, ISE ಸೆಕೆಂಡರಿ ಒಂದನ್ನು ಸಂಪರ್ಕಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ, ಇತ್ಯಾದಿ. ಹೆಚ್ಚುವರಿಯಾಗಿ, 2 ಪ್ಯಾನ್ಗಳಿದ್ದರೆ, ಪ್ರಾಥಮಿಕ ಪ್ಯಾನ್ಗಾಗಿ ಒಂದು ಎಲ್ಡಿಎಪಿಗೆ ಆದ್ಯತೆ ನೀಡಬಹುದು ಮತ್ತು ದ್ವಿತೀಯ ಪ್ಯಾನ್ಗಾಗಿ ಮತ್ತೊಂದು ಎಲ್ಡಿಎಪಿಗೆ ಆದ್ಯತೆ ನೀಡಬಹುದು.
LDAP ಸರ್ವರ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವಾಗ ISE 2 ರೀತಿಯ ಲುಕಪ್ ಅನ್ನು ಬೆಂಬಲಿಸುತ್ತದೆ: ಬಳಕೆದಾರ ಲುಕಪ್ ಮತ್ತು MAC ವಿಳಾಸ ಲುಕಪ್. ಬಳಕೆದಾರರ ಹುಡುಕಾಟವು LDAP ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ಬಳಕೆದಾರರನ್ನು ಹುಡುಕಲು ಮತ್ತು ದೃಢೀಕರಣವಿಲ್ಲದೆ ಕೆಳಗಿನ ಮಾಹಿತಿಯನ್ನು ಹಿಂಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ: ಬಳಕೆದಾರರು ಮತ್ತು ಅವರ ಗುಣಲಕ್ಷಣಗಳು, ಬಳಕೆದಾರ ಗುಂಪುಗಳು. MAC ವಿಳಾಸ ಲುಕಪ್ ನಿಮಗೆ ದೃಢೀಕರಣವಿಲ್ಲದೆಯೇ LDAP ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ MAC ವಿಳಾಸದ ಮೂಲಕ ಹುಡುಕಲು ಮತ್ತು MAC ವಿಳಾಸಗಳು ಮತ್ತು ಇತರ ನಿರ್ದಿಷ್ಟ ಗುಣಲಕ್ಷಣಗಳ ಮೂಲಕ ಸಾಧನ, ಸಾಧನಗಳ ಗುಂಪಿನ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ.
ಏಕೀಕರಣದ ಉದಾಹರಣೆಯಾಗಿ, LDAP ಸರ್ವರ್ ಆಗಿ Cisco ISE ಗೆ ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯನ್ನು ಸೇರಿಸೋಣ.
1) ಟ್ಯಾಬ್ಗೆ ಹೋಗಿ ಆಡಳಿತ → ಗುರುತು ನಿರ್ವಹಣೆ → ಬಾಹ್ಯ ಗುರುತಿನ ಮೂಲಗಳು → LDAP → ಸೇರಿಸಿ.
ಚಿತ್ರ 4. LDAP ಸರ್ವರ್ ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
2) ಫಲಕದಲ್ಲಿ ಜನರಲ್ LDAP ಸರ್ವರ್ ಹೆಸರು ಮತ್ತು ಸ್ಕೀಮ್ ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ (ನಮ್ಮ ಸಂದರ್ಭದಲ್ಲಿ ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ).
ಚಿತ್ರ 5. ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸ್ಕೀಮಾದೊಂದಿಗೆ LDAP ಸರ್ವರ್ ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
3) ಮುಂದೆ ಹೋಗಿ ಸಂಪರ್ಕ ಟ್ಯಾಬ್ ಮತ್ತು ನಿರ್ದಿಷ್ಟಪಡಿಸಿ ಹೋಸ್ಟ್ ಹೆಸರು/IP ವಿಳಾಸ ಸರ್ವರ್ AD, ಪೋರ್ಟ್ (389 - LDAP, 636 - SSL LDAP), ಡೊಮೇನ್ ನಿರ್ವಾಹಕರ ರುಜುವಾತುಗಳು (ನಿರ್ವಹಣೆ DN - ಪೂರ್ಣ DN), ಇತರ ನಿಯತಾಂಕಗಳನ್ನು ಡೀಫಾಲ್ಟ್ ಆಗಿ ಬಿಡಬಹುದು.
ಹೇಳಿಕೆಯನ್ನು: ಸಂಭಾವ್ಯ ಸಮಸ್ಯೆಗಳನ್ನು ತಪ್ಪಿಸಲು ನಿರ್ವಾಹಕ ಡೊಮೇನ್ ವಿವರಗಳನ್ನು ಬಳಸಿ.
ಚಿತ್ರ 6. LDAP ಸರ್ವರ್ ಡೇಟಾವನ್ನು ನಮೂದಿಸಲಾಗುತ್ತಿದೆ
4) ಟ್ಯಾಬ್ನಲ್ಲಿ ಡೈರೆಕ್ಟರಿ ಸಂಸ್ಥೆ ಬಳಕೆದಾರರು ಮತ್ತು ಬಳಕೆದಾರರ ಗುಂಪುಗಳನ್ನು ಎಳೆಯಲು ನೀವು DN ಮೂಲಕ ಡೈರೆಕ್ಟರಿ ಪ್ರದೇಶವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬೇಕು.
ಚಿತ್ರ 7. ಬಳಕೆದಾರ ಗುಂಪುಗಳನ್ನು ಎಳೆಯುವ ಡೈರೆಕ್ಟರಿಗಳನ್ನು ನಿರ್ಧರಿಸುವುದು
5) ವಿಂಡೋಗೆ ಹೋಗಿ ಗುಂಪುಗಳು → ಸೇರಿಸಿ → ಡೈರೆಕ್ಟರಿಯಿಂದ ಗುಂಪುಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ LDAP ಸರ್ವರ್ನಿಂದ ಎಳೆಯುವ ಗುಂಪುಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಲು.
ಚಿತ್ರ 8. LDAP ಸರ್ವರ್ನಿಂದ ಗುಂಪುಗಳನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
6) ಕಾಣಿಸಿಕೊಳ್ಳುವ ವಿಂಡೋದಲ್ಲಿ, ಕ್ಲಿಕ್ ಮಾಡಿ ಗುಂಪುಗಳನ್ನು ಹಿಂಪಡೆಯಿರಿ. ಗುಂಪುಗಳು ಸೇರಿಕೊಂಡಿದ್ದರೆ, ಪ್ರಾಥಮಿಕ ಹಂತಗಳನ್ನು ಯಶಸ್ವಿಯಾಗಿ ಪೂರ್ಣಗೊಳಿಸಲಾಗಿದೆ. ಇಲ್ಲದಿದ್ದರೆ, ಮತ್ತೊಂದು ನಿರ್ವಾಹಕರನ್ನು ಪ್ರಯತ್ನಿಸಿ ಮತ್ತು LDAP ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು LDAP ಸರ್ವರ್ನೊಂದಿಗೆ ISE ಲಭ್ಯತೆಯನ್ನು ಪರಿಶೀಲಿಸಿ.
ಚಿತ್ರ 9. ಸಕ್ರಿಯಗೊಳಿಸಲಾದ ಬಳಕೆದಾರರ ಗುಂಪುಗಳ ಪಟ್ಟಿ
7) ಟ್ಯಾಬ್ನಲ್ಲಿ ಗುಣಲಕ್ಷಣಗಳು LDAP ಸರ್ವರ್ನಿಂದ ಯಾವ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಮೇಲಕ್ಕೆ ಎಳೆಯಬೇಕು ಮತ್ತು ವಿಂಡೋದಲ್ಲಿ ನೀವು ಐಚ್ಛಿಕವಾಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು ಸುಧಾರಿತ ಸೆಟ್ಟಿಂಗ್ಗಳು ಆಯ್ಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ ಪಾಸ್ವರ್ಡ್ ಬದಲಾವಣೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ, ಬಳಕೆದಾರರು ತಮ್ಮ ಪಾಸ್ವರ್ಡ್ ಅವಧಿ ಮೀರಿದ್ದರೆ ಅಥವಾ ಮರುಹೊಂದಿಸಿದ್ದರೆ ಅದನ್ನು ಬದಲಾಯಿಸಲು ಒತ್ತಾಯಿಸುತ್ತದೆ. ಯಾವುದೇ ರೀತಿಯಲ್ಲಿ, ಕ್ಲಿಕ್ ಮಾಡಿ ಸಲ್ಲಿಸಿ ಮುಂದುವರಿಸಲು.
8) LDAP ಸರ್ವರ್ ಅನುಗುಣವಾದ ಟ್ಯಾಬ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ ಮತ್ತು ನಂತರ ಪ್ರವೇಶ ನೀತಿಗಳನ್ನು ರಚಿಸಲು ಬಳಸಬಹುದು.
ಚಿತ್ರ 10. ಸೇರಿಸಿದ LDAP ಸರ್ವರ್ಗಳ ಪಟ್ಟಿ
4. ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಏಕೀಕರಣ
1) ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಕ್ಟಿವ್ ಡೈರೆಕ್ಟರಿ ಸರ್ವರ್ ಅನ್ನು LDAP ಸರ್ವರ್ ಆಗಿ ಸೇರಿಸುವ ಮೂಲಕ, ನಾವು ಬಳಕೆದಾರರು, ಬಳಕೆದಾರ ಗುಂಪುಗಳನ್ನು ಸ್ವೀಕರಿಸಿದ್ದೇವೆ, ಆದರೆ ಲಾಗ್ಗಳನ್ನು ಅಲ್ಲ. ಮುಂದೆ, ಸಿಸ್ಕೋ ISE ನೊಂದಿಗೆ ಪೂರ್ಣ AD ಏಕೀಕರಣವನ್ನು ಹೊಂದಿಸಲು ನಾನು ಸಲಹೆ ನೀಡುತ್ತೇನೆ. ಟ್ಯಾಬ್ಗೆ ಹೋಗಿ ಆಡಳಿತ → ಗುರುತಿನ ನಿರ್ವಹಣೆ → ಬಾಹ್ಯ ಗುರುತಿನ ಮೂಲಗಳು → ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ → ಸೇರಿಸಿ.
ಗಮನಿಸಿ: AD ಯೊಂದಿಗೆ ಯಶಸ್ವಿ ಏಕೀಕರಣಕ್ಕಾಗಿ, ISE ಡೊಮೇನ್ನಲ್ಲಿರಬೇಕು ಮತ್ತು DNS, NTP ಮತ್ತು AD ಸರ್ವರ್ಗಳೊಂದಿಗೆ ಸಂಪೂರ್ಣ ಸಂಪರ್ಕವನ್ನು ಹೊಂದಿರಬೇಕು, ಇಲ್ಲದಿದ್ದರೆ ಏನೂ ಕೆಲಸ ಮಾಡುವುದಿಲ್ಲ.
ಚಿತ್ರ 11. ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ ಸರ್ವರ್ ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
2) ಕಾಣಿಸಿಕೊಳ್ಳುವ ವಿಂಡೋದಲ್ಲಿ, ಡೊಮೇನ್ ನಿರ್ವಾಹಕರ ಮಾಹಿತಿಯನ್ನು ನಮೂದಿಸಿ ಮತ್ತು ಬಾಕ್ಸ್ ಅನ್ನು ಪರಿಶೀಲಿಸಿ ರುಜುವಾತುಗಳನ್ನು ಸಂಗ್ರಹಿಸಿ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ISE ನಿರ್ದಿಷ್ಟ OU ನಲ್ಲಿ ನೆಲೆಗೊಂಡಿದ್ದರೆ ನೀವು OU (ಸಾಂಸ್ಥಿಕ ಘಟಕ) ಅನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು. ಮುಂದೆ, ನೀವು ಡೊಮೇನ್ಗೆ ಸಂಪರ್ಕಿಸಲು ಬಯಸುವ ಸಿಸ್ಕೋ ISE ನೋಡ್ಗಳನ್ನು ನೀವು ಆರಿಸಬೇಕಾಗುತ್ತದೆ.
ಚಿತ್ರ 12. ರುಜುವಾತುಗಳನ್ನು ನಮೂದಿಸಲಾಗುತ್ತಿದೆ
3) ಡೊಮೇನ್ ನಿಯಂತ್ರಕಗಳನ್ನು ಸೇರಿಸುವ ಮೊದಲು, ಟ್ಯಾಬ್ನಲ್ಲಿ PSN ನಲ್ಲಿ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ ಆಡಳಿತ → ವ್ಯವಸ್ಥೆ → ನಿಯೋಜನೆ ಆಯ್ಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ನಿಷ್ಕ್ರಿಯ ಗುರುತಿನ ಸೇವೆ. ನಿಷ್ಕ್ರಿಯ ID — ಬಳಕೆದಾರರನ್ನು IP ಗೆ ಮತ್ತು ಪ್ರತಿಯಾಗಿ ಭಾಷಾಂತರಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುವ ಒಂದು ಆಯ್ಕೆ. PassiveID AD ಯಿಂದ WMI, ವಿಶೇಷ AD ಏಜೆಂಟ್ಗಳು ಅಥವಾ ಸ್ವಿಚ್ನಲ್ಲಿರುವ SPAN ಪೋರ್ಟ್ ಮೂಲಕ ಮಾಹಿತಿಯನ್ನು ಪಡೆಯುತ್ತದೆ (ಅತ್ಯುತ್ತಮ ಆಯ್ಕೆಯಲ್ಲ).
ಗಮನಿಸಿ: ನಿಷ್ಕ್ರಿಯ ID ಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸಲು, ISE ಕನ್ಸೋಲ್ನಲ್ಲಿ ನಮೂದಿಸಿ ಅರ್ಜಿಯ ಸ್ಥಿತಿಯನ್ನು ತೋರಿಸು | PassiveID ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಚಿತ್ರ 13. PassiveID ಆಯ್ಕೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತಿದೆ
4) ಟ್ಯಾಬ್ಗೆ ಹೋಗಿ ಆಡಳಿತ → ಗುರುತು ನಿರ್ವಹಣೆ → ಬಾಹ್ಯ ಗುರುತಿನ ಮೂಲಗಳು → ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ → PassiveID ಮತ್ತು ಆಯ್ಕೆಯನ್ನು ಆರಿಸಿ ಡಿಸಿಗಳನ್ನು ಸೇರಿಸಿ. ಮುಂದೆ, ಚೆಕ್ಬಾಕ್ಸ್ಗಳ ಮೂಲಕ ಅಗತ್ಯವಿರುವ ಡೊಮೇನ್ ನಿಯಂತ್ರಕಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಿ ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ಸರಿ.
ಚಿತ್ರ 14. ಡೊಮೇನ್ ನಿಯಂತ್ರಕಗಳನ್ನು ಸೇರಿಸಲಾಗುತ್ತಿದೆ
5) ಸೇರಿಸಿದ DC ಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಿ ಮತ್ತು ಬಟನ್ ಕ್ಲಿಕ್ ಮಾಡಿ ಸಂಪಾದಿಸಿ. ದಯವಿಟ್ಟು ಸೂಚಿಸಿ FQDN ನಿಮ್ಮ DC, ಡೊಮೇನ್ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್, ಹಾಗೆಯೇ ಸಂವಹನ ಆಯ್ಕೆ ಡಬ್ಲುಎಂಐ ಅಥವಾ ಏಜೆಂಟ್. WMI ಆಯ್ಕೆಮಾಡಿ ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ಸರಿ.
ಚಿತ್ರ 15. ಡೊಮೇನ್ ನಿಯಂತ್ರಕ ಮಾಹಿತಿಯನ್ನು ನಮೂದಿಸಲಾಗುತ್ತಿದೆ
6) ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸಲು WMI ಆದ್ಯತೆಯ ವಿಧಾನವಲ್ಲದಿದ್ದರೆ, ನಂತರ ISE ಏಜೆಂಟ್ಗಳನ್ನು ಬಳಸಬಹುದು. ಏಜೆಂಟ್ ವಿಧಾನವೆಂದರೆ ನೀವು ಲಾಗಿನ್ ಈವೆಂಟ್ಗಳನ್ನು ನೀಡುವ ಸರ್ವರ್ನಲ್ಲಿ ವಿಶೇಷ ಏಜೆಂಟ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಬಹುದು. 2 ಅನುಸ್ಥಾಪನಾ ಆಯ್ಕೆಗಳಿವೆ: ಸ್ವಯಂಚಾಲಿತ ಮತ್ತು ಕೈಪಿಡಿ. ಅದೇ ಟ್ಯಾಬ್ನಲ್ಲಿ ಏಜೆಂಟ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಸ್ಥಾಪಿಸಲು ನಿಷ್ಕ್ರಿಯ ID ಐಟಂ ಆಯ್ಕೆಮಾಡಿ ಏಜೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ → ಹೊಸ ಏಜೆಂಟ್ ಅನ್ನು ನಿಯೋಜಿಸಿ (DC ಇಂಟರ್ನೆಟ್ ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರಬೇಕು). ನಂತರ ಅಗತ್ಯವಿರುವ ಕ್ಷೇತ್ರಗಳನ್ನು ಭರ್ತಿ ಮಾಡಿ (ಏಜೆಂಟ್ ಹೆಸರು, ಸರ್ವರ್ FQDN, ಡೊಮೇನ್ ನಿರ್ವಾಹಕರ ಲಾಗಿನ್/ಪಾಸ್ವರ್ಡ್) ಮತ್ತು ಕ್ಲಿಕ್ ಮಾಡಿ ಸರಿ.
ಚಿತ್ರ 16. ISE ಏಜೆಂಟ್ನ ಸ್ವಯಂಚಾಲಿತ ಸ್ಥಾಪನೆ
7) Cisco ISE ಏಜೆಂಟ್ ಅನ್ನು ಹಸ್ತಚಾಲಿತವಾಗಿ ಸ್ಥಾಪಿಸಲು, ನೀವು ಆಯ್ಕೆ ಮಾಡಬೇಕಾಗುತ್ತದೆ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಏಜೆಂಟ್ ಅನ್ನು ನೋಂದಾಯಿಸಿ. ಮೂಲಕ, ನೀವು ಟ್ಯಾಬ್ನಲ್ಲಿ ಏಜೆಂಟ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು ಕೆಲಸದ ಕೇಂದ್ರಗಳು → PassiveID → ಪೂರೈಕೆದಾರರು → ಏಜೆಂಟ್ಗಳು → ಡೌನ್ಲೋಡ್ ಏಜೆಂಟ್.
ಚಿತ್ರ 17. ISE ಏಜೆಂಟ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತಿದೆ
ಇದು ಮುಖ್ಯ: PassiveID ಈವೆಂಟ್ಗಳನ್ನು ಓದುವುದಿಲ್ಲ ಲಾಗ್ಆಫ್! ಸಮಯ ಮೀರುವಿಕೆಗೆ ಕಾರಣವಾದ ನಿಯತಾಂಕವನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ ಬಳಕೆದಾರ ಅಧಿವೇಶನ ವಯಸ್ಸಾದ ಸಮಯ ಮತ್ತು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ 24 ಗಂಟೆಗಳಿಗೆ ಸಮಾನವಾಗಿರುತ್ತದೆ. ಆದ್ದರಿಂದ, ನೀವು ಕೆಲಸದ ದಿನದ ಕೊನೆಯಲ್ಲಿ ನಿಮ್ಮನ್ನು ಲಾಗ್ಆಫ್ ಮಾಡಬೇಕು ಅಥವಾ ಲಾಗ್ ಇನ್ ಆಗಿರುವ ಎಲ್ಲ ಬಳಕೆದಾರರನ್ನು ಸ್ವಯಂಚಾಲಿತವಾಗಿ ಲಾಗ್ಆಫ್ ಮಾಡುವ ಕೆಲವು ರೀತಿಯ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬರೆಯಿರಿ.
ಮಾಹಿತಿಗಾಗಿ ಲಾಗ್ಆಫ್ "ಎಂಡ್ಪಾಯಿಂಟ್ ಪ್ರೋಬ್ಸ್" ಅನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. ಸಿಸ್ಕೋ ISE ನಲ್ಲಿ ಹಲವಾರು ಎಂಡ್ಪಾಯಿಂಟ್ ಪ್ರೋಬ್ಗಳಿವೆ: RADIUS, SNMP ಟ್ರ್ಯಾಪ್, SNMP ಕ್ವೆರಿ, DHCP, DNS, HTTP, Netflow, NMAP ಸ್ಕ್ಯಾನ್. ತ್ರಿಜ್ಯ ಬಳಸಿಕೊಂಡು ತನಿಖೆ CoA (ಅಧಿಕಾರದ ಬದಲಾವಣೆ) ಪ್ಯಾಕೇಜುಗಳು ಬಳಕೆದಾರರ ಹಕ್ಕುಗಳನ್ನು ಬದಲಾಯಿಸುವ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ (ಇದಕ್ಕೆ ಎಂಬೆಡೆಡ್ ಅಗತ್ಯವಿದೆ 802.1X), ಮತ್ತು ಪ್ರವೇಶ ಸ್ವಿಚ್ಗಳಲ್ಲಿ ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾದ SNMP ಸಂಪರ್ಕಿತ ಮತ್ತು ಸಂಪರ್ಕ ಕಡಿತಗೊಂಡ ಸಾಧನಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ.
802.1X ಮತ್ತು RADIUS ಇಲ್ಲದೆಯೇ Cisco ISE + AD ಕಾನ್ಫಿಗರೇಶನ್ಗೆ ಸಂಬಂಧಿಸಿದ ಉದಾಹರಣೆಯನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ: ಬಳಕೆದಾರರು ಲಾಗ್ಆಫ್ ಮಾಡದೆಯೇ ವಿಂಡೋಸ್ ಯಂತ್ರದಲ್ಲಿ ಲಾಗ್ ಇನ್ ಆಗಿದ್ದಾರೆ, ವೈಫೈ ಮೂಲಕ ಮತ್ತೊಂದು PC ಯಿಂದ ಲಾಗ್ ಇನ್ ಮಾಡಿ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಅವಧಿ ಮುಗಿಯುವವರೆಗೆ ಅಥವಾ ಬಲವಂತದ ಲಾಗ್ಆಫ್ ಸಂಭವಿಸುವವರೆಗೆ ಮೊದಲ PC ಯಲ್ಲಿನ ಸೆಷನ್ ಇನ್ನೂ ಸಕ್ರಿಯವಾಗಿರುತ್ತದೆ. ನಂತರ, ಸಾಧನಗಳು ವಿಭಿನ್ನ ಹಕ್ಕುಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ಕೊನೆಯದಾಗಿ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ಸಾಧನವು ಅದರ ಹಕ್ಕುಗಳನ್ನು ಅನ್ವಯಿಸುತ್ತದೆ.
8) ಟ್ಯಾಬ್ನಲ್ಲಿ ಹೆಚ್ಚುವರಿಗಳು ಆಡಳಿತ → ಗುರುತಿನ ನಿರ್ವಹಣೆ → ಬಾಹ್ಯ ಗುರುತಿನ ಮೂಲಗಳು → ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿ → ಗುಂಪುಗಳು → ಸೇರಿಸಿ → ಡೈರೆಕ್ಟರಿಯಿಂದ ಗುಂಪುಗಳನ್ನು ಆಯ್ಕೆಮಾಡಿ ನೀವು ISE ಗೆ ಸೇರಿಸಲು ಬಯಸುವ AD ಯಿಂದ ಗುಂಪುಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡಬಹುದು (ನಮ್ಮ ಸಂದರ್ಭದಲ್ಲಿ, ಇದನ್ನು ಹಂತ 3 "LDAP ಸರ್ವರ್ ಸೇರಿಸಲಾಗುತ್ತಿದೆ"). ಒಂದು ಆಯ್ಕೆಯನ್ನು ಆರಿಸಿ ಗುಂಪುಗಳನ್ನು ಹಿಂಪಡೆಯಿರಿ → ಸರಿ.
ಚಿತ್ರ 18 a). ಸಕ್ರಿಯ ಡೈರೆಕ್ಟರಿಯಿಂದ ಬಳಕೆದಾರರ ಗುಂಪುಗಳನ್ನು ಎಳೆಯಲಾಗುತ್ತಿದೆ
9) ಟ್ಯಾಬ್ನಲ್ಲಿ ಕೆಲಸದ ಕೇಂದ್ರಗಳು → PassiveID → ಅವಲೋಕನ → ಡ್ಯಾಶ್ಬೋರ್ಡ್ ನೀವು ಸಕ್ರಿಯ ಸೆಷನ್ಗಳ ಸಂಖ್ಯೆ, ಡೇಟಾ ಮೂಲಗಳ ಸಂಖ್ಯೆ, ಏಜೆಂಟ್ಗಳು ಮತ್ತು ಹೆಚ್ಚಿನದನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಬಹುದು.
ಚಿತ್ರ 19. ಡೊಮೇನ್ ಬಳಕೆದಾರರ ಚಟುವಟಿಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವುದು
10) ಟ್ಯಾಬ್ನಲ್ಲಿ ಲೈವ್ ಸೆಷನ್ಸ್ ಪ್ರಸ್ತುತ ಅವಧಿಗಳನ್ನು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ. AD ಯೊಂದಿಗೆ ಏಕೀಕರಣವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಲಾಗಿದೆ.
ಚಿತ್ರ 20. ಡೊಮೇನ್ ಬಳಕೆದಾರರ ಸಕ್ರಿಯ ಅವಧಿಗಳು
5. ತೀರ್ಮಾನ
ಈ ಲೇಖನವು Cisco ISE ನಲ್ಲಿ ಸ್ಥಳೀಯ ಬಳಕೆದಾರರನ್ನು ರಚಿಸುವುದು, LDAP ಸರ್ವರ್ಗಳನ್ನು ಸೇರಿಸುವುದು ಮತ್ತು ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಕ್ಟಿವ್ ಡೈರೆಕ್ಟರಿಯೊಂದಿಗೆ ಸಂಯೋಜಿಸುವ ವಿಷಯಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ಮುಂದಿನ ಲೇಖನವು ಅತಿಥಿ ಪ್ರವೇಶವನ್ನು ಅನಗತ್ಯ ಮಾರ್ಗದರ್ಶಿ ರೂಪದಲ್ಲಿ ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಈ ವಿಷಯದ ಕುರಿತು ನೀವು ಯಾವುದೇ ಪ್ರಶ್ನೆಗಳನ್ನು ಹೊಂದಿದ್ದರೆ ಅಥವಾ ಉತ್ಪನ್ನವನ್ನು ಪರೀಕ್ಷಿಸಲು ಸಹಾಯದ ಅಗತ್ಯವಿದ್ದರೆ, ದಯವಿಟ್ಟು ಸಂಪರ್ಕಿಸಿ .
ನಮ್ಮ ಚಾನಲ್ಗಳಲ್ಲಿನ ನವೀಕರಣಗಳಿಗಾಗಿ ಟ್ಯೂನ್ ಮಾಡಿ (, , , , ).
ಮೂಲ: www.habr.com